SPI-Firewalls bieten eine fortschrittliche Paketfiltertechnologie. Anders als herkömmliche Firewalls analysieren sie auch den Status einer Datenverbindung, bevor sie Datenpakete entweder weiterleiten oder blocken. Erfahren Sie hier, warum dieser auf den ersten Blick geringe Unterschied einen deutlichen Zuwachs an Sicherheit für Netzwerke bedeutet – und welche Einsatzmöglichkeiten sich daraus für Unternehmen ergeben.
Die Bedrohungslage im Internet erfordert robuste Lösungen zum Schutz vor ausgeklügelten und ständig neuen Tricks von Cyberkriminellen. In diesem Kontext spielt Stateful Packet Inspection (SPI) eine zentrale Rolle in heutigen digitalen Sicherheitsstrategien. SPI-Firewalls bewerten den Netzwerkverkehr dahingehend, ob Datenpakete zu einer vertrauenswürdigen Verbindung gehören oder nicht.
„SPI“ steht für „Stateful Packet Inspection“, zu Deutsch „zustandsorientierte Überprüfung von Datenpaketen“. Im Gegensatz zu statischen oder auch zustandslosen Filtertechniken (Static Packet Filtering, kurz: SPF) inspizieren SPI-Firewalls die Datenpakete nicht nur auf Basis von Header-Informationen wie der Quell- und Ziel-IP-Adresse sowie dem Quell-/Zielport. Sie berücksichtigen auch den Verbindungsstatus der Session zwischen Sender und Empfänger.
SPI-Firewalls werden auch als Stateful Firewalls bezeichnet – in Abgrenzung zu den Stateless Firewalls (zustandslose Firewalls) und anderen Arten von Firewalls.
Um die Vorteile der Stateful Packet Inspection besser zu verstehen, ist es hilfreich, einen Blick auf die Funktionen und die Entwicklung von Firewalls im Allgemeinen zu werfen. Firewalls gibt es schon seit den Anfängen des Internets. Sie haben die Aufgabe, unerwünschten Datenverkehr zu stoppen – wie eine „Brandmauer“. Ohne Firewall sollte heutzutage kein Unternehmen online gehen.
Betriebssysteme von Computern verfügen meist bereits über eine (persönliche) Firewall. Sie legt anhand vordefinierter Kriterien fest, wann ein Datenpaket für das empfangende Netzwerk als schädlich gilt. Router sind ebenfalls mit einer integrierten Firewall ausgestattet, die den eingehenden Datenverkehr überwacht und kontrolliert, ob er vertrauenswürdig ist.
Je komplexer die Systeme sind, desto notwendiger ist der Schutz durch eine Netzwerk-Firewall. Die zunehmende Vernetzung im Internet of Things (IoT) führt auch zu komplexeren Firewall-Konfigurationen.
Zustandslose Firewalls können nur anhand der Header eines Datenpakets bestimmen, ob ein eingehendes Paket durchgelassen werden kann oder nicht. Einer solchen statischen Firewall (Stateless Firewall) fehlt die Möglichkeit, festzustellen, ob ein Datenpaket auch im Kontext der aktiven Verbindung gültig ist.
Daraus entstehen Risiken wie Cyberangriffe durch Distributed-Denial-of-Service (DDoS)-Mechanismen. Im Zuge eines Distributed-Denial-of-Service-Angriffs wird eine Anfrage mit einer gefälschten Quell-IP-Adresse an einen legitimen Dienst auf dem Zielsystem versandt. Wenn dieser Dienst antwortet, können Cyberkriminelle eine Webadresse mit unerwünschtem eingehenden Datenverkehr „spammen“, weil der Inhalt des Datenpakets aus Sicht der Firewall legitim erscheint und nicht gegen deren Regeln verstößt.
Stateful Firewalls gehen deswegen einen Schritt weiter. Eine SPI-Firewall verfolgt alle Datenpakete im Netzwerk. Sie überprüft, ob ein Datenpaket zu einer aktiven Sitzung gehört, die nach einem vertrauenswürdigen sogenannten TCP-Handshake aufgebaut wurde. Die SPI-Firewall untersucht außerdem nicht nur das Datenpaket, sondern den gesamten Datenfluss. Sind nicht alle Bedingungen erfüllt, verwirft sie ein Datenpaket. Stateful Firewalls erkennen so auch böswillige oder unbefugte Aktivitäten, die in einem legitimen Datenstrom vorkommen können. Auf diese Weise blocken sie selbst raffinierte Malware und Spyware.
Das Prinzip der Stateful Packet Inspection entstand in den 1990er-Jahren und wurde ursprünglich von dem börsennotierten US-amerikanischen Unternehmen Check Point Software Technologies entwickelt. Seither hat sich die Leistungsfähigkeit von SPI kontinuierlich weiterentwickelt.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.
Netzwerkverkehr im Internet bewegt sich üblicherweise in kleinen Blöcken, den sogenannten Datenpaketen.
Jedes Datenpaket enthält die IP-Adressen des Absender- und des Empfänger-Computers. Klassische Firewalls lassen Datenpakete passieren, wenn diese von einer als sicher geltenden Quelle kommen, beispielsweise von einem akzeptierten Port (z. B. Port 21). Bedenkliche Daten, die über einen vermeintlich ungefährlichen Port kommen, werden jedoch meist nicht erkannt.
Hacker:innen nutzen dies aus, indem sie Datenpakete abfangen und die darin vermerkten IP-Adressen gezielt angreifen. Es gibt sogar Websites im Internet, die ausschließlich dazu dienen, die IP-Adressen von Besucher:innen abzugreifen, um diese später angreifen zu können.
Die Lösung: SPI-Firewalls analysieren IP-Adressen und prüfen den aktuellen Status der Netzwerkverbindung. Sie verfügen über einen Speicher und halten die Informationen der Stateful Packet Inspection in einer Tabelle fest. Dies erfolgt in der Schicht 3 (Netzwerk/Vermittlungsschicht) des OSI-Modells für den Internetdatenverkehr (siehe Grafik unten).
Darüber hinaus arbeitet die SPI-Firewall auch auf der Schicht 4 (Transportschicht), indem sie Protokolle wie TCP und UDP untersucht. Sie prüft z. B., ob ein TCP-Handschlag (Three-Way-Handshake) korrekt durchgeführt wurde, bevor sie Datenpakete erlaubt oder ablehnt. Eine Stateful Inspection Firewall kann außerdem feststellen, ob das jeweils nächste Datenpaket Teil einer Serie ist.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Die Stateful Packet Inspection ist nicht zu verwechseln mit der Deep Packet Inspection (DPI), die sogenannte Next Generation Firewalls kennzeichnet. Diese analysieren die Nutzlast von Datenpaketen, Protokollen und Anwendungen bis auf den höchsten OSI-Layer (Anwendungsschicht). DPI erfordert aufgrund der hohen Komplexität der Analysen auch eine besonders hohe Rechenleistung.
Secure Access Gateway mit Zscaler
Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.
Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.
Stateful Inspection Firewalls behalten alle Verbindungen im Netzwerk fortlaufend im Blick und erstellen ein Protokoll mit allen bislang getroffenen Entscheidungen zum Verbindungsaufbau.
Bei künftigen Entscheidungen zum Filtern von Datenpaketen greift die Firewall auf die Informationen in diesem Protokoll zu. So kann sie leichter entscheiden, ob es sich um erwünschten oder unerwünschten Traffic handelt.
Das ist wichtig, weil ohne die Kenntnis des Verbindungsstatus zwischen zwei Parteien nicht ersichtlich ist, ob die Gegenstelle bestimmte Datenpakete tatsächlich angefordert hat. Sonst könnte es passieren, dass Pakete versendet werden, ohne dass eine aktive bzw. gültige Sitzung zwischen beiden Parteien besteht.
Mittels der Stateful Packet Inspection merkt sich die SPI-Firewall, ob eine Verbindung aktiv ist oder nicht – und blockiert Datenpakete, für die zuvor keine Kommunikation oder Anforderung stattgefunden hat.
SPI-Firewalls – was sind die Vorteile?
Je mehr Datenverkehr Sie im Unternehmen und insbesondere nach und von außen managen müssen, desto mehr Bedrohungen müssen Ihre Tools erkennen. In diesen Fällen eignet sich die Stateful Inspection Firewall, da sie deutlich mehr Sicherheitsfunktionen bietet als normale Firewalls. Außerdem vereinfacht sie das Einstellen komplexer Regeln für die Firewall.
Stateless Firewalls sind eher in kleinen Unternehmen, im Homeoffice oder im privaten Bereich im Einsatz. Wenn der Datenverkehr gering oder das Budget begrenzt ist, kann dies sinnvoll sein – auch weil das Erstellen von Regeln für Firewalls dann überschaubar ist. Aufgrund ihrer eingeschränkten Fähigkeiten eignen sich Stateless Firewalls für Betriebe jedoch nur in Fällen, bei denen z. B. ein Datenverlust, ein Systemausfall oder eine Erpressung keine gravierenden Folgen hätte.
Die Vorteile auf einen Blick:
Mehr Sicherheit: Stateful Firewalls bieten einen umfassenderen Schutz vor fortgeschrittenen Bedrohungen als herkömmliche (Stateless) Firewalls. Denn sie untersuchen den Zustand jeder aktiven Verbindung über das Internet und den Kontext von Datenpaketen.
Dynamische Regelanwendung: SPI-Firewalls können Regeln basierend auf dem Verbindungszustand dynamisch anwenden. Sie lassen Antwortpakete nur zu, wenn sie zu einer als vertrauenswürdig eingestuften Verbindung gehören.
Gute Performance: Dank ihrer intelligenten und präzisen Arbeitsweise bei der Paketfilterung haben SPI-Firewalls weniger Auswirkungen auf die Netzwerkleistung und eine bessere Performance als Stateless Firewalls.
Weniger Fehlalarme: SPI-Firewalls verfolgen den gesamten Datenfluss zwischen zwei Geräten. Das reduziert die Wahrscheinlichkeit einer Verwechslung von legitimen und bösartigen Aktivitäten. Voraussetzung dafür ist es, die SPI-Firewall stets aktuell zu halten und korrekt zu konfigurieren.
Wichtiger Hinweis: Die Implementierung und die Administration von SPI-Technologien erfordern Fachwissen. Der Verwaltungsaufwand ist im Vergleich zu Stateless Firewalls etwas höher. In der Regel überwiegen die Vorteile in Bezug auf Sicherheit und Effizienz deutlich die Kosten und den administrativen Aufwand.
Microsoft Defender für Unternehmen
Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.
Schutz vor Ransomware, Phishing und anderen Bedrohungen
Optimal für IT-Admins in kleinen und mittleren Unternehmen
In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
Stateful Inspection Firewalls, kurz SPI-Firewalls, gehen über statische Paketfiltertechniken hinaus. Sie analysieren Datenpakete auf Basis von Header-Informationen, Ports und Verbindungsstatus.
SPI-Firewalls legen Protokolle für die Datenübertragung an, speichern diese und können Regeln – basierend auf einem Verbindungszustand – dynamisch anwenden.
SPI-Firewalls sind in der Lage, auch fortschrittliche Cyberangriffe zu erkennen und abzuwehren.
Im Vergleich zu zustandslosen Firewalls erhöhen die zustandsorientierten SPI-Firewalls die Netzwerksicherheit von Unternehmen erheblich.
Ohne Verschlüsselung keine sichere Datenübertragung im Internet. Doch welche Verfahren sind sicher genug für Ihre Firmendaten? Erfahren Sie hier, was eine hybride Verschlüsselung ist und welche Stärken und Schwächen sie hat.
E-Mails, Kundendaten und auch Ihre letzte Online-Bestellung beim Lieferanten: Im Internet werden jeden Tag viele Milliarden vertraulicher Daten versendet. Damit Passwörter und Codeschlüssel nicht in falsche Hände geraten, gibt es verschiedene Verschlüsselungsarten. Die hybride Verschlüsselung kombiniert gleich mehrere.
Allianz für Cyber-Sicherheit erklärt: Strategien und Maßnahmen
Know-how und Erfahrungsaustausch sind wichtig, damit deutsche Unternehmen gut gegen die wachsenden Bedrohungen durch Wirtschaftskriminalität und Cyberkrieg gewappnet sind. Die Allianz für Cyber-Sicherheit hat dafür eine kooperative Plattform geschaffen. Sie bietet neben aktuellen Informationen, Toolkits und Seminaren auch Beratung und Hilfe bei der Bewältigung von Sicherheitsvorfällen. Wie Ihr Unternehmen davon profitieren kann, erfahren Sie hier.
Die Allianz für Cyber-Sicherheit (ACS) ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie wurde in Zusammenarbeit mit dem Branchenverband der deutschen Informations- und Telekommunikationsbranche BITKOM ins Leben gerufen. Ziel der ACS ist es, deutsche Unternehmen, Behörden und Organisationen besser vor Cyberangriffen zu schützen.
Ein Fokus der ACS liegt darauf, den Austausch und die Kooperation zwischen IT-Verantwortlichen zu fördern, das Sicherheitsbewusstsein in Unternehmen zu schärfen und dafür relevante Informationen zur Verfügung zu stellen. Zudem arbeitet die Allianz daran, globale Cyber-Bedrohungen besser zu verstehen, um diese abzuwehren. Dies betrifft auch Risiken, die Lieferketten mit sich bringen können.
So wichtig sind Security-Awareness-Trainings für Unternehmen
Die Cybergefahren nehmen für Unternehmen immer mehr zu. Im Jahr 2023 waren über die Hälfte der deutschen Unternehmen einer Cyberattacke ausgesetzt – Tendenz steigend. Unzureichende Sicherheitsmaßnahmen in der IT sind eine Schwachstelle, die Angreifer:innen ausnutzen. Daneben setzen die Kriminellen vor allem auf den Faktor Mensch, denn Unwissenheit und Fahrlässigkeit ebnen häufig den Weg für Datendiebstahl und Erpressung. Mit Security-Awareness-Trainings können Sie dieses Risiko in Ihrem Unternehmen signifikant reduzieren. Denn nur eine geschulte Belegschaft erkennt Gefahren im digitalen Raum rechtzeitig.
Viele Führungskräfte erwarten nach einer repräsentativen Befragung des Branchenverbands Bitkom zukünftig sogar einen Anstieg von Cyberattacken auf ihr Unternehmen. Ihre Cybersecurity-Strategie sollte deshalb zwei Standbeine haben: technische Maßnahmen und geschulte Mitarbeiter:innen. So verhindern Sie, dass aus einem unbedachten Klick auf einen vermeintlich harmlosen Link plötzlich ein Millionenschaden entsteht.
Was genau Security-Awareness-Trainings sind, welche Inhalte sie vermitteln und welche Schulungsform die beste für Ihr Unternehmen ist, erfahren Sie in diesem Artikel.
Unternehmen schützen ihre Daten effizient mit inkrementellen Back-ups. Diese Methode spart Zeit und Speicherplatz in Ihrer IT-Infrastruktur. Entdecken Sie, wie inkrementelle Back-ups funktionieren und welche Vorteile sie Ihrem Unternehmen bieten.
Datensicherungen sind unverzichtbar, aber oft zeitaufwendig. Inkrementelle Back-ups bieten hier eine smarte Lösung. Sie sichern nur die Daten, die sich seit Ihrem letzten Back-up geändert haben. Wie Sie dadurch Speicherplatz sparen und den Sicherungsprozess erheblich beschleunigen, erfahren Sie in diesem Artikel.
Wächst ein Unternehmen, so wächst meist auch das Firmennetz. Doch nach welchem Prinzip vergeben Sie am besten die Zugriffsrechte für Ihre Mitarbeiter:innen? Vielleicht haben Sie schon einmal von Role Based Access Control (RBAC) gehört.
Das Rechtemanagement in Computernetzen ist immer eine Gratwanderung. Zu viele Rechte für alle gefährden die Netzwerksicherheit und können im schlimmsten Fall die Ausbreitung von Malware begünstigen. Zu wenige Rechte behindern hingegen Ihre Mitarbeiter:innen bei der täglichen Arbeit und führen zu vermehrten Anfragen bei Ihrer Unternehmens-IT. Gibt es das ideale Modell für die Rechtevergabe in Firmennetzen?